Rund 950'000 Datensätze von Zürcherinnen und Zürchern hat die Firma JMDT über das Corona-Contact-Tracing gesammelt. Alle, die je positiv auf das Virus getestet wurde, sind in dem System mit Namen, Adresse, Telefonnummer, E-Mail und Ansteckungsdatum festgehalten. In gewissen Fällen kommen auch noch Symptome, Vorerkrankungen, Kontaktpersonen und Ansteckungsort dazu.
Ende März hat die Firma das Contact-Tracing beendet und folglich die meisten Angestellten aus dem Dienst entlassen. Allerdings hatten sie es versäumt, deren Benutzeraccounts zu sperren, wie Recherchen des «Tagesanzeiger» ergaben. Ende Juni waren die Nutzerkonten von über 600 Contact-Tracern immer noch nicht gesperrt.
Datenschützer ist schockiert
Als «übel» und «schweren organisatorischen Mangel» bezeichnet Sven Fassbender, Spezialist für Informationssicherheit und Mitgründer der Beratungsfirma ZFT, den Vorfall gegenüber dem «Tages-Anzeiger». Beim Austritt von Mitarbeitenden müssten deren Konten deaktiviert werden. Fassbender hatte auch schon bei Swisstransplant und der Online-Plattform meineimpfungen.ch Datenschutz-Lecks aufgedeckt.
Insbesondere problematisch sei in diesem Fall, dass der Zugriff auf die Datenbank mittels nicht-personalisierter Logins möglich war. «Nicht personalisierte Logins sind für eine solche Datenbank grundsätzlich nicht in Ordnung», so der Datenschutzexperte. Ein Unternehmen müsse nachverfolgen können, wer wann welche Änderungen im System vorgenommen habe.
Konten nun deaktiviert
Die Gesundheitsdirektion Zürich bestätigt auf Nachfrage des «Tagesanzeiger» die Datenschutzpanne. Der Kanton stellte den Fehler erst aufgrund der Recherchen fest. Mittlerweile seien die Konten aber deaktiviert worden, sagt Beat Lauper, Zuständiger fürs Contact-Tracing. Und ergänzt: «Wir bedauern diesen Fehler.» JDMT bezog zu dem Vorfall keine Stellung.
Gemäss Lauper wisse man bisher von keinem Datenmissbrauch. Ausserdem hätten die Mitarbeitenden jeweils eine Datenschutzerklärung unterschreiben müssen, um Zugriff auf das System zu erhalten. Allerdings sagt ein ehemaliger Angestellter der Firma, er habe eine solche nie unterzeichnet. Auch andere Sicherheitschecks waren ihm gemäss «Tagesanzeiger» nicht bekannt.
Keine Sicherheitschecks
Auch dies findet Fassbender problematisch. In vielen grossen Unternehmen wie Banken oder bei grossen Gesundheitsanbietern gehöre ein Strafregister- und einen Betreibungsregisterauszug zum Bewerbungsdossier dazu, bevor Mitarbeiter auf sensible Daten zugreifen können.
Aus den Daten Profit zu schlagen oder Schaden anzurichten, sei ein Leichtes, so Fassbender. Besonders, wenn man den hohen Marktwert von Gesundheitsdaten berücksichtige.
Ob JDMT weiterhin für das Contact-Tracing verpflichtet wird, ist noch offen. (lm)